O Google lançou uma atualização de segurança de emergência do Chrome para resolver uma vulnerabilidade de dia zero visada por uma exploração, já em circulação na Internet, que pode permitir a execução de códigos maliciosos.
O Google está pedindo aos usuários que atualizem o Chrome para a nova versão, 112.0.5615.121, o mais rápido possível. A versão atualizada aborda a vulnerabilidade, que afeta os sistemas Windows, Mac e Linux, e está listada como CVE-2023-2033 no Banco de Dados Nacional de Vulnerabilidades dos EUA.
Enquanto isso, a atualização será lançada nas próximas semanas no canal de desktop estável do Google, disse a empresa.
A vulnerabilidade de alta gravidade foi descrita pelo Google como um problema de “confusão de tipos” no mecanismo JavaScript V8. O Google Chrome V8 é o mecanismo JavaScript e WebAssembly de código aberto do Google.
Leia mais: 5 passos para certificar a cibersegurança do seu negócio
“O Google está ciente de que existe um exploit para CVE-2023-2033”, disse a empresa em um comunicado em 14 de abril.
A NIST, a agência do Departamento de Comércio dos EUA que administra o Banco de Dados Nacional de Vulnerabilidades, foi mais longe em sua descrição CVE sobre a vulnerabilidade. “A confusão de tipos no V8 no Google Chrome anterior a 112.0.5615.121 permitia que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada”, disse a NIST.
O Google ainda não divulgou detalhes completos sobre a vulnerabilidade. “O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google no comunicado.
Para atualizar o Chrome, os usuários podem clicar no menu flutuante no lado direito da barra de menus e, em seguida, ir para Ajuda e Sobre o Google Chrome. O Chrome verificará automaticamente as atualizações do navegador e, por padrão, atualizará o navegador. Após a conclusão da atualização, os usuários precisam reiniciar o navegador.
Clement Lecigne, do Grupo de Análise de Ameaças do Google, identificou a vulnerabilidade e relatou o problema em 11 de abril. Além de corrigir o CVE-2023-2033, a atualização do Chrome também corrige vários problemas detectados durante auditorias internas e outras iniciativas, disse a empresa.
Leia também: Brasil perde R$ 104 bi por falta de processos digitais de identificação
Esta é a primeira vulnerabilidade de dia zero relatada no Chrome este ano. Em dezembro, o Google lançou uma atualização para o Chrome após a identificação de uma vulnerabilidade de confusão de tipo diferente no V8.
Um erro de confusão de tipo ocorre quando um programa usa um tipo de método para alocar ou inicializar um recurso, mas usa outro método para acessar esse recurso, levando a um acesso à memória fora dos limites, de acordo com a empresa de segurança cibernética NSFocus, em um alerta enviado sobre a atualização de dezembro do Chrome. “Ao convencer um usuário a visitar um site especialmente criado, um invasor remoto pode, em última análise, obter a execução arbitrária de código ou causar uma negação de serviço no sistema”, disse a NSFocus.
No ano passado, 9 vulnerabilidades de dia zero foram identificadas no Chrome.
Em 2022, o número de vulnerabilidades conhecidas de código aberto aumentou 4% em relação a 2021, de acordo com um relatório da Synopsys. Pelo menos uma vulnerabilidade conhecida de código aberto foi detectada em 84% de todas as bases de código comerciais e proprietárias examinadas pelos pesquisadores, e 48% de todas as bases de código analisadas continham vulnerabilidades de alto risco.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
